📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global insider التعليم HIGH 5h Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 10h Global apt الحكومة والبنية التحتية الحرجة CRITICAL 12h Global vulnerability برامج المؤسسات / تحليل البيانات CRITICAL 12h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 16h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 19h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 20h Global vulnerability التعليم العالي CRITICAL 1d Global data_breach القطاع الحكومي HIGH 1d Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 1d Global insider التعليم HIGH 5h Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 10h Global apt الحكومة والبنية التحتية الحرجة CRITICAL 12h Global vulnerability برامج المؤسسات / تحليل البيانات CRITICAL 12h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 16h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 19h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 20h Global vulnerability التعليم العالي CRITICAL 1d Global data_breach القطاع الحكومي HIGH 1d Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 1d Global insider التعليم HIGH 5h Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 10h Global apt الحكومة والبنية التحتية الحرجة CRITICAL 12h Global vulnerability برامج المؤسسات / تحليل البيانات CRITICAL 12h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 16h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 19h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 20h Global vulnerability التعليم العالي CRITICAL 1d Global data_breach القطاع الحكومي HIGH 1d Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 1d
الثغرات

CVE-2021-47902

مرتفع
Testa Online Test Management System 3.4.7 contains a SQL injection vulnerability that allows attackers to manipulate database queries through the 'q' search parameter. Attackers can inject malicious S
CWE-89 — نوع الضعف
نُشر: Jan 27, 2026  ·  آخر تحديث: Feb 28, 2026  ·  المصدر: NVD
CVSS v3
8.2
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

Testa Online Test Management System 3.4.7 contains a SQL injection vulnerability that allows attackers to manipulate database queries through the 'q' search parameter. Attackers can inject malicious SQL code in the search field to extract database information, potentially accessing sensitive user or system data.

🤖 ملخص AI

CVE-2021-47902 is a SQL injection vulnerability in Testa Online Test Management System 3.4.7 affecting the search functionality. Attackers can inject malicious SQL through the 'q' parameter to extract sensitive database information including user credentials and system data. With a CVSS score of 8.2 and no exploit currently available, this represents a high-risk vulnerability requiring immediate patching for organizations using this system.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: Apr 25, 2026 20:19
🇸🇦 التأثير على المملكة العربية السعودية
This vulnerability poses significant risk to Saudi educational institutions, government training centers, and corporate HR departments that utilize Testa for online assessments. Educational sector (Ministry of Education, universities) faces exposure of student personal data and assessment records. Government agencies using this system for employee training and certification risk exposure of sensitive personnel information. Healthcare organizations conducting online competency assessments could expose patient-related training records. The vulnerability allows unauthorized database access, potentially compromising PII of thousands of test takers and administrators.
🏢 القطاعات السعودية المتأثرة
Education (Ministry of Education, Universities) Government (Training and Development Centers) Healthcare (Medical Training Programs) Corporate (HR and Employee Development) Certification Bodies
⚖️ درجة المخاطر السعودية (AI)
7.8
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:

1. Identify all instances of Testa Online Test Management System 3.4.7 in your environment

2. Isolate affected systems from production networks if patch cannot be applied immediately

3. Review database access logs for suspicious SQL patterns or unusual query activity

4. Notify all users of potential data exposure and monitor for credential abuse



PATCHING:

1. Apply the available patch to version 3.4.8 or later immediately

2. Test patch in staging environment before production deployment

3. Verify patch effectiveness by attempting SQL injection in 'q' parameter



COMPENSATING CONTROLS (if patching delayed):

1. Implement Web Application Firewall (WAF) rules to block SQL injection patterns in search parameters

2. Apply input validation: whitelist allowed characters in 'q' parameter, reject special SQL characters

3. Use parameterized queries/prepared statements at application level

4. Restrict database user permissions to minimum required privileges

5. Enable database query logging and monitoring for suspicious SQL patterns



DETECTION:

1. Monitor for SQL keywords in 'q' parameter: UNION, SELECT, DROP, INSERT, DELETE, OR, AND

2. Alert on multiple failed database queries from single session

3. Track unusual database connection patterns or data extraction attempts

4. Log all search queries for forensic analysis
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:

1. تحديد جميع نسخ نظام إدارة الاختبارات الإلكترونية Testa 3.4.7 في بيئتك

2. عزل الأنظمة المتأثرة عن شبكات الإنتاج إذا لم يكن من الممكن تطبيق التصحيح فوراً

3. مراجعة سجلات الوصول إلى قاعدة البيانات للبحث عن أنماط SQL مريبة أو نشاط استعلام غير عادي

4. إخطار جميع المستخدمين بالتعرض المحتمل للبيانات ومراقبة إساءة استخدام بيانات الاعتماد



التصحيح:

1. تطبيق التصحيح المتاح للإصدار 3.4.8 أو أحدث فوراً

2. اختبار التصحيح في بيئة التطوير قبل نشره في الإنتاج

3. التحقق من فعالية التصحيح بمحاولة حقن SQL في معامل 'q'



الضوابط البديلة (إذا تأخر التصحيح):

1. تطبيق قواعد جدار حماية تطبيقات الويب (WAF) لحجب أنماط حقن SQL في معاملات البحث

2. تطبيق التحقق من الإدخال: قائمة بيضاء للأحرف المسموحة في معامل 'q'، رفض أحرف SQL الخاصة

3. استخدام الاستعلامات المعاملة/البيانات المحضرة على مستوى التطبيق

4. تقييد أذونات مستخدم قاعدة البيانات بالحد الأدنى المطلوب

5. تفعيل تسجيل المراقبة لاستعلامات قاعدة البيانات للبحث عن أنماط SQL مريبة



الكشف:

1. مراقبة كلمات SQL الرئيسية في معامل 'q': UNION, SELECT, DROP, INSERT, DELETE, OR, AND

2. التنبيه على استعلامات قاعدة البيانات المتعددة الفاشلة من جلسة واحدة

3. تتبع أنماط اتصال قاعدة البيانات غير العادية أو محاولات استخراج البيانات

4. تسجيل جميع استعلامات البحث للتحليل الجنائي
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
A.14.2.1 - Secure development policy and procedures A.14.2.5 - Secure development environment A.12.6.1 - Management of technical vulnerabilities A.12.2.1 - Monitoring and logging of access to information
🔵 SAMA CSF
ID.BE-5 - Organizational resilience PR.DS-6 - Integrity checking mechanisms DE.CM-1 - The network is monitored to detect potential cybersecurity events RS.MI-2 - Incidents are mitigated
🟡 ISO 27001:2022
A.12.2.1 - User access logging and monitoring A.12.4.1 - Event logging A.14.2.1 - Secure development policy A.14.2.5 - Secure development environment
🟣 PCI DSS v4.0.1
Requirement 6.5.1 - Injection flaws prevention Requirement 11.3 - Penetration testing
📊 CVSS Score
8.2
/ 10.0 — مرتفع
📊 CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
Attack VectorN — None / Network
Attack ComplexityL — Low / Local
Privileges RequiredN — None / Network
User InteractionN — None / Network
ScopeU — Unchanged
ConfidentialityH — High
IntegrityL — Low / Local
AvailabilityN — None / Network
📋 حقائق سريعة
الخطورة مرتفع
CVSS Score8.2
CWECWE-89
EPSS0.04%
اختراق متاح لا
تصحيح متاح ✓ نعم
تاريخ النشر 2026-01-27
المصدر nvd
المشاهدات 7
🇸🇦 درجة المخاطر السعودية
7.8
/ 10.0 — مخاطر السعودية
أولوية: HIGH
🏷️ الوسوم
CWE-89
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram

💬 التعليقات

0
جارٍ التحميل
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.